运行时恶意软件检测策略由于其有效性和鲁棒性已经引起了广泛的关注。 对于Windows操作系统，选择API（应用程序接口）来分析程序行为。 但是，狡猾的攻击者可以操纵API调用序列来规避检测。 为了解决此问题，我们提出了一种基于IRP（I / O请求包）的新颖的运行时恶意软件检测策略，并开发了一种基于内核驱动程序技术捕获IRP的工具。 利用一些经典方法对IRP序列进行分类以进行恶意软件检测，包括朴素贝叶斯，贝叶斯网络，支持向量机，C4.5决策树，Boosting和否定选择算法。 为了快速检测运行时